Требовать надежных шифров в Windows IIS 7.5 и 8

Информационную службу Windows Internet (или IIS) 7.5 и 8 можно настроить на использование только надежных шифров. Эта статья покажет вам шаги, необходимые для этого.

ЗАМЕТКА: Конфигурация шифра будет включать работу с редактором локальной групповой политики вашей системы. Конфигурация сервера выходит за рамки нашей поддержки, и SSL.com не может предложить помощь с этими шагами. Мы сильно Рекомендуем вам проконсультироваться с профессиональным администратором Windows перед внесением этих изменений. SSL.com предлагает эту информацию как услугу и напоминает вам, что вы Используйте эту информацию на свой страх и риск.

Просмотр и редактирование включенных шифров

  1. Из командной строки запустите gpedit.msc, чтобы запустить редактор локальной групповой политики,
  2. Появится окно с редактором локальной групповой политики. На левой панели щелкните Конфигурация компьютера >> Административные шаблоны >> Cеть >> Параметры конфигурации SSL.
  3. На правой панели дважды щелкните Заказ SSL Cipher Suite редактировать принятые шифры. Обратите внимание, что редактор принимает только до 1023 байтов текста в зашифрованной строке - любой дополнительный текст будет проигнорирован без предупреждения.
  4. По завершении сохраните изменения, а затем перезапустите сервер, чтобы они вступили в силу. Не забывайте, что изменение конфигурации вашего набора шифров может привести к сбою старых браузеров на вашем веб-сайте, потому что они не могут использовать обновленные более сильные протоколы.
Вернуться к началу

Выбор сильных комплектов шифров

Список всех доступных наборов шифров можно найти по адресу эту ссылку в библиотеке поддержки Microsoft.

SSL.com рекомендует следующую конфигурацию набора шифров. Они были выбраны из соображений скорости и безопасности. Вы можете использовать этот список в качестве шаблона для своей конфигурации, но ваши собственные потребности всегда должны иметь приоритет. Для устаревшего программного обеспечения (например, старых браузеров) могут потребоваться более старые, менее безопасные комплекты шифров. Вы можете добавить поддержку этих устаревших браузеров, если ваши клиенты не обновлены.

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *

* Только для Windows 8.1 и Windows Server 2012 R2.

SSL.com напоминает вам, что это всего лишь рекомендация. Мы не можем предложить поддержку в этом процессе и еще раз предлагаем вам проконсультироваться с профессиональным администратором Windows, прежде чем вносить какие-либо изменения. Неправильная конфигурация может привести к нарушению или небезопасности соединения.
Спасибо, что выбрали SSL.com! Если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, вызов 1-877-SSL-SECURE, или просто нажмите ссылку чата в правом нижнем углу этой страницы. Вы также можете найти ответы на многие распространенные вопросы поддержки в нашем база знаний.

Крис Кеммерер

Все сообщения

Связанные как Tos

Просмотреть все как Tos
что его цель LinkedIn Twitter Youtube Github

Подпишитесь на рассылку новостей SSL.com

Что такое SSL /TLS?

Воспроизвести видео

Подпишитесь на рассылку новостей SSL.com

Не пропустите новые статьи и обновления с SSL.com

Будьте в курсе и будьте в безопасности

SSL.com является мировым лидером в области кибербезопасности, PKI и цифровые сертификаты. Подпишитесь, чтобы получать последние новости отрасли, советы и анонсы продуктов от SSL.com.

Мы будем рады вашим отзывам

Пройдите наш опрос и поделитесь с нами своими мыслями о своей недавней покупке.

Пройти опрос